我目前正在开发React-Django应用,并使用dj-rest-auth软件包和JWT在后端进行身份验证。它工作得非常好,当用户登录时,服务器将使用HttpOnly cookie(包含access_token)进行响应。
我不明白的是,如果我无法从前端读取令牌值(因为它是HttpOnly),那么如何使用响应cookie中的access_token来处理Web应用程序中的请求?
我尝试使用js-cookie包将JWT存储在cookie中,并且由于它是用JS编写的,因此无法将其设置为HttpOnly。因此,我将access_token存储在cookie中,但这不会破坏HttpOnly cookie的意义,因为它们都存储相同的令牌值?
答案 0 :(得分:1)
您可以将令牌作为Authorization Bearer + token